Wyzwanie i prośba o pomoc z wirusem CryptoLocker / TeslaCrypt

[lachu88]

Witam,

tak jak w temacie Panowie i Panie mam niemały problem z wirusem, który 24.10.2015 zainfekował mój komputer. Jak zapewne każdemu ze zwracających się o pomoc do Państwa bardzo zależy mi na odzyskaniu danych, chiałbym jednak zaznaczyć, że na takowym odzyskaniu może zależeć mi kapkę bardziej od innych gdyż na początku grudnia będę bronił zacięcie swojej pracy dyplomowej (reżyseria dźwięku), stąd NIEODZOWNIE potrzebuję PCeta w takim wydaniu jakim prezentował się on przed infekcją
Tytułem niepotrzebnego wstępu to tyle więc przechodzę szybciutko do rzeczy

Nad rozwiązaniem problemu spędziłem około tygodnia (z marnym skutkiem), piszę w takim razie co udało mi się w tym czasie ustalić i zrobić:

 

1. wydaje mi się, że komputer zainfekowało przynajmniej dwa wirusy:

-pierwszy - CryptoLocker (TeslaCrypt v. 0.2.5): skrypt zakodował moje pliki pozostawiając po sobie rozszerzenie .ccc, skasował punkty odzyskiwania systemu Shadow sprzed zainicjowania działania, wydaje mi się, że po wszystkim usunął plik key.dat (na tej stronie: http://blogs.cisco.com/security/talos/teslacrypt wyczytałem, że do odzyskania danych potrzebny jest ten plik i program firmy Cisco aby je odkodować) w obrębie, którego mógł pracować (próbowałem szukać tego pliku wszelakimi programami takimi jak: Get Data Back, Data Recovery Pro, Recuva, Shadow Explorer i spróbować go odzyskać jednak bez powodzenia) oraz pozostawił po sobie pliki: howto_recover_file_cvuyk.txt, howto_recover_file_cvuyk.html i chyba plik cryptolocker.exe. Na koniec wyskoczyło podobne okno:

 

 

W pliku RSA-2048.txt załączam fragment informacji z powyższego okna, dotyczącą danych odnośnie płatności za uzyskanie klucza odkodywującego.

W rejestrze systemu: [HKEY_CURRENT_USER\Software\C5A39C411BB7A5C9] znalazłem również adres BitCoin:

 

 

-drugi - nie mam pojęcia czym może być natomiast jego skutkiem jest fakt, iż katalogi z dysku zewnętrznego zostały pozamieniane na pliki bez żadnego rozszerzenia, które nie zajmują fizycznie miejsca (nie są to pliki skrótów). Przy podglądzie całego dysku w oknie "Mój komputer" dysk jednak jest prawie cały zapełniony (tak jak przed infekcją).

 

2. linki, które mówiły o tych tematach a mnie zaciekawiły to:
https://securelist.com/blog/research/71371/teslacrypt-2-0-disguised-as-cryptowall/

http://www.bleepingcomputer.com/forums/t/575875/new-teslacrypt-version-released-that-uses-the-exx-extension/page-3?do=findComment&comment=3708349

 

3. poczyniłem również wymagane logi oraz te, które nie są wymagane (ComboFix zrobiłem zanim polecono mi Wasze forum jako najlepsze w kraju , stąd przepraszam jeśli coś niniejszym namieszałem) a mogą pomóc w rozwiązaniu tematu:

-logi wymagane:

FRST.txt

Addition.txt

Shortcut.txt

 

GMER (long).txt

GMER (long dysk I).txt

GMER (short).txt

 

-logi bonusowe:

ComboFix.txt

UsbFix_Report.txt

 

PODSUMOWANIE:
tak jak już napomknąłem na wstępie: BŁAGAM O POMOC! gdyż bez niej moja obrona pracy będzie niemożliwa.
Z góry dziękuję i serdecznie pozdrawiam

 

[picasso]

CryptoLocker (TeslaCrypt v. 0.2.5): skrypt zakodował moje pliki pozostawiając po sobie rozszerzenie .ccc, skasował punkty odzyskiwania systemu Shadow sprzed zainicjowania działania, wydaje mi się, że po wszystkim usunął plik key.dat (na tej stronie: http://blogs.cisco.c...alos/teslacrypt wyczytałem, że do odzyskania danych potrzebny jest ten plik i program firmy Cisco aby je odkodować) w obrębie, którego mógł pracować (próbowałem szukać tego pliku wszelakimi programami takimi jak: Get Data Back, Data Recovery Pro, Recuva, Shadow Explorer i spróbować go odzyskać jednak bez powodzenia) oraz pozostawił po sobie pliki: howto_recover_file_cvuyk.txt, howto_recover_file_cvuyk.html i chyba plik cryptolocker.exe.

 

Tu nie mamy do czynienia z infekcją CryptoLocker tylko z nową linią TeslaCrypt w wyższej wersji. Bardzo mi przykro, ale nie ma żadnej możliwości odszyfrowania plików metodami z trzeciej ręki. Jedyna (niepolecana) możliwość odkodowania plików to uiszczenie opłaty przestępcom i otrzymanie od nich dekodera. Ów plik "RSA-2048.txt" pokazuje Twoje osobiste instrukcje kontaktowe.

 

Cisco TeslaDecrypt, którym próbowałeś się posłużyć, to stare narzędzie adresujące tylko i wyłącznie pierwotną serię wariantów (dane z przyrostkami *.ecc). Nowszym narzędziem jest TeslaDecoder, ale i on nie zdziała tu nic. Pliki z przyrostkiem *.ccc oznaczają infekcję jednym z najnowszym wariantów TeslaCrypt 2.1.0a. Ta grupa ma "poprawkę" uniemożliwiającą odkodowanie plików narzędziem TeslaDecoder i innymi. Nie ma już prywatnego klucza zapisywanego na dysku, dlatego nie możesz znaleźć "key.dat". Autor TeslaDecoder o tym wariancie:

 

"Unfortunately there is no solution for .ccc variant of TeslaCrypt. This variant can be decrypted only by their private key except your randomly generated and never stored private key."

 

 

drugi - nie mam pojęcia czym może być natomiast jego skutkiem jest fakt, iż katalogi z dysku zewnętrznego zostały pozamieniane na pliki bez żadnego rozszerzenia, które nie zajmują fizycznie miejsca (nie są to pliki skrótów). Przy podglądzie całego dysku w oknie "Mój komputer" dysk jednak jest prawie cały zapełniony (tak jak przed infekcją).

Objawy nie wskazują na infekcję tylko na uszkodzenie danych. Na urządzeniu pasującym do opisu jest znak wykonania operacji sprawdzania struktury systemu plików narzędziem checkdisk i ukryty katalog I:\found.000, który gromadzi wadliwe dane "obcięte" przez procedury naprawcze checkdisk. Skoro miejsce jest zajęte, to pewnie ten katalog ścinków danych waży sporo. Katalog zobaczysz po odznaczeniu w Opcjach folderów Ukryj chronione pliki systemu operacyjnego. Są wprawdzie narzędzia typu Chk-Back służące konwersji odpadków po pracy checkdiska do poprzedniej postaci, ale dobre wyniki zależą od tego jak bardzo był uszkodzony materiał wyjściowy.

 

I:\ - Fixed drive (NTFS)
 

[01/11/2015 - 18:00:33 | RASHD] - I:\Autorun.inf

[24/10/2015 - 11:32:53 | SHD] - I:\$RECYCLE.BIN

[24/10/2015 - 01:15:18 | SHD] - I:\found.000

[17/03/2014 - 20:04:55 | N | 0 Ko] - I:\instalki z dysku

[28/02/2015 - 17:09:52 | N | 0 Ko] - I:\Kornelcia

[13/04/2015 - 18:16:38 | N | 0 Ko] - I:\Gra o tron

[13/05/2015 - 07:02:23 | N | 0 Ko] - I:\zdjęcia

[13/05/2015 - 07:16:54 | N | 0 Ko] - I:\Gry

[25/05/2015 - 12:20:28 | N | 0 Ko] - I:\Programy muzyczne

[03/08/2015 - 13:13:51 | N | 0 Ko] - I:\Telefunken W 258

[19/09/2015 - 11:11:43 | N | 0 Ko] - I:\Muzyka

[19/09/2015 - 11:51:24 | N | 0 Ko] - I:\Programy

[19/09/2015 - 15:14:18 | N | 0 Ko] - I:\DRIVERy

[09/10/2015 - 22:20:17 | SH | 0 Ko] - I:\System Volume Information

[24/10/2015 - 01:08:14 | N | 0 Ko] - I:\Filmy

[01/11/2015 - 15:46:59 | D] - I:\[sESJE Z KOMPA]

[01/11/2015 - 16:08:28 | D] - I:\Programy z KOMPA

 

 

PS. Masz zainstalowany wątpliwy program z czarnej listy SpyHunter, używałeś też wątpliwych produktów ParetoLogic. Są do wykonania też działania stricte "kosmetyczne", tylko że na razie to nie ma znaczenia i odsuwam akcję na późniejszy termin.

[lachu88]

Dziękuję za rzetelną i profesjonalną odpowiedź widzę, że niestety zostaje mi tylko jedno wyjście: format PCeta i reinstalacja OSa.
PS: jedyne pytanie Pani Picasso jakie mam do Pani to: czy szczątkowe dane, które pozostały na moim komputerze mogą być zainfekowane "czymś niepożądanym", czy śmiało mogę kopiować zachowane pliki na czysty nośnik i wgrać je później w świeży system?

 

Jeśli to nie nadużycie uprzejmości bardzo prosiłbym o podanie programu typu Chk-Back, który według Pani jest godny uwagi

[PayDay]

A ja to napisze w skrócie.

 

Pobrałes plik exe. który był połączony z virusem * czyli zbindowany

Być może z innej plikacji lub byłes wykorzystany  własnie teraz.

 

Uruchom system w trybie awaryjnym bez sieci i szukaj tego .exe * TEMP , AppData , USERS i inne foldery Systemowe

 

CryptoLocker  - to program do blokowania systemu jak i wymuszenia na ofiarze subsy Sms cos jak  okienko z  Complete Surveys offers to download  ... i bla bla

 

TeslaCrypt v. 0.2.5 - być może to nazwa Crypt* Cryptera  gdzie był maskowany virus.

 

Nastepnym razem odpalaj aplikacje nieznane ci w piaskownicy*Sandboxie  albo na frozen disk.

 

Pozdrawiam.

[lachu88]

Panie PayDay, w odróżnieniu od Pani Picasso nic odkrywczego Pan nie napisał - wirus jeszcze przed wysłaniem logów był usunięty a to, że odpalił się wraz z plikiem wykonalnym .exe odczułem na drodze empirycznego poznania. Myślę, że tego typu posty, które mówią o głupotach zamiast o instrukcjach dotyczących poradzenia sobie z problemem są ewidentnie śmieciowe i powinny być kasowane.

 

PS: Pani Picasso, udało się odzyskać dane z dysku zewnętrznego programem, o którym Pani wspomniała a co za tym idzie, PCet po reinstalacji systemu działa prężnie a i najpotrzebniejsze dane udało sie zachować. Dziękuję jeszcze raz i serdecznie pozdrawiam

[picasso]

lachu88

 

widzę, że niestety zostaje mi tylko jedno wyjście: format PCeta i reinstalacja OSa.

 

PS: jedyne pytanie Pani Picasso jakie mam do Pani to: czy szczątkowe dane, które pozostały na moim komputerze mogą być zainfekowane "czymś niepożądanym", czy śmiało mogę kopiować zachowane pliki na czysty nośnik i wgrać je później w świeży system?

Format nie jest konieczny, ale decyzja należy do Ciebie. Obecnie nie ma śladów czynnej infekcji i można po prostu doczyścić drobne odpadki oraz zaszyfrowane pliki. Zaszyfrowane pliki są także w różnych katalogach zainstalowanych aplikacji i ich usunięcie spowoduje pewne mniejsze ubytki (niekonieczne przekładające się na jednak na uszczerbek w działaniu, brak obrazka bądź odnośnika tekstowego nie jest kluczowy). Jeśli zdecydujesz, że doczyszczamy, to podejmę się tego.

 

 

Jeśli to nie nadużycie uprzejmości bardzo prosiłbym o podanie programu typu Chk-Back, który według Pani jest godny uwagi

Za wiele tu nie wymyślę. Chk-Back działa na raczej prostej zasadzie: na podstawie identyfikacji nagłówków plików odciętych przez chkdsk stara się po prostu zmienić nazwy plików w FOUND na pierwotne. To niekoniecznie przekłada się na odzysk danych. Jak zaznaczałam, im bardziej uszkodzony materiał wyjściowy, tym gorsze rezultaty, tzn. pliki mogą być niekompletne (nieotwieralne lub np. obrazy pokazujące tylko kawałek).

 

Stosowałeś różne programy do odzysku danych. Mógłbyś na pendrive sprawdzić jeszcze PhotoRec.

 

 

 

PayDay

 

CryptoLocker - to program do blokowania systemu jak i wymuszenia na ofiarze subsy Sms cos jak okienko z Complete Surveys offers to download ... i bla bla

TeslaCrypt v. 0.2.5 - być może to nazwa Crypt* Cryptera gdzie był maskowany virus.

Nazwa "CryptoLocker" (to jest inna linia szyfrująca) pojawia się w kontekście infekcji TeslaCrypt, gdyż TeslaCrypt może udawać infekcję CryptoLocker, co jest przedstawione dobrze w jednym z linków (securelist.com) podanych przez lachu88.

 

 

Uruchom system w trybie awaryjnym bez sieci i szukaj tego .exe * TEMP , AppData , USERS i inne foldery Systemowe

Zostały podane raporty z FRST, które precyzyjnie pokazują jaki jest stan obecny. Infekcja nie jest czynna i nie ma jej śladów (są ślady innych śmieci). A czy są jakieś odpadki w konkretnych miejscach które podajesz, to widać w sekcjach "Files in the root of some directories" (obejmuje root, ProgramData, AppData, LocalAppdata, CommonFiles, ProgramFiles) oraz "Some content in TEMP" (tej nie widać w raporcie, bo nie wykryto żadnych plików wykonywalnych bezpośrednio w TEMP).

[lachu88]

Właśnie z racji ubytków w postaci przekodowanych plików wpływających na funkcjonowanie niektórych programów (głównie do obróbki dźwięku), zdecydowałem się na przeinstalowanie OSa udało mi się jednak w całości odzyskać dane z dysku zewnętrznego (uzyskanie uprawnień do edycji katalogu "found.000") a co za tym idzie, powtórne wgranie systemu z programami nie było najmniejszym problemem

 

PS: Myślę, że śmiało można temat zamknąć, pozostawiając go jednak dla osób, które będą miały podobny problem w przyszłości (oczywiście do czasu kiedy znajdzie się jakieś narzędzie do odkodowania zainfekowanych plików). Pozdrawiam